Son muchos los ataques de seguridad que podemos sufrir en nuestros dispositivos. Uno de los más presentes es el Phishing. Básicamente es una estrategia que usan los piratas informáticos para robar contraseñas y datos personales. En este artículo vamos a explicar cómo funciona el Phishing en el móvil, qué tipos existen y, lo más importante, cómo podemos protegernos y evitar problemas.
Cómo funciona el Phishing en el móvil
Un ataque Phishing en el móvil podemos decir que es un cebo, una trampa, donde caemos y exponemos nuestros datos. Por ejemplo, hacer clic en un enlace que nos lleva a una página fraudulenta, que simula ser algo oficial. Al poner la contraseña, en vez de iniciar sesión en esa plataforma con normalidad, en realidad estamos enviando esos datos directamente a un pirata informático.
Normalmente los ciberdelincuentes van a utilizar alguna estrategia para que caigamos en el anzuelo. Por ejemplo, indicarnos que hay algún problema con la cuenta, que tenemos que poner algún dato para verificar que todo funciona bien, etc. Suelen jugar con la urgencia, por lo que la víctima tiene poco tiempo para pensar y terminan accediendo.
Estos ataques no son exclusivos en los móviles, pero sí podemos decir que en los últimos años ha crecido mucho por el hecho de ser dispositivos más usados y que prácticamente cualquiera lo tiene a mano todo el día. Esto lo aprovechan los piratas informáticos y envían ataques Phishing para robar datos.
Qué tipos hay
Los ataques Phishing en el móvil no llegan únicamente por una vía, ni son de un tipo concreto. Como vas a ver, hay varios métodos que pueden usar los cibercriminales. Todos ellos van a estar orientados en el robo de contraseñas e información personal, pero hay diferencias entre ellos y en la manera de ejecutarlos.
SMS o Smishing
El primero, uno de los más presentes en los teléfonos móviles, es el Phishing por SMS o también conocido como Smishing. En este caso el atacante va a enviar un mensaje de texto al móvil de la víctima, donde buscará que haga clic en algún enlace y de esa forma ejecutar el ataque para lograr su objetivo.
Un ejemplo claro es un ataque Phishing que llega por SMS y simula ser de un banco. Solicitan iniciar sesión para solucionar un problema, por ejemplo, pero en realidad se trata de una estafa. Al hacer clic en el enlace vamos a parar a una página que es una copia de la original y todo lo que enviemos va a ir a un servidor controlado por los atacantes.
También es muy común recibir un SMS donde nos indican que no se ha podido entregar un paquete que nos va a enviar una determinada empresa de transporte. Esto especialmente se incrementa en épocas como la Navidad. Es exactamente igual que el caso del Phishing bancario y también va a buscar robar datos personales y contraseñas.
Por correo
El tipo de Phishing clásico es a través del correo electrónico. Esto no es exclusivo del móvil, lógicamente, pero el hecho de utilizar más estos dispositivos hace que sea más peligroso. Cualquier e-mail que recibamos lo podemos abrir directamente desde el móvil. Y es justo en este tipo de dispositivos donde más errores podemos cometer. Si recibimos un e-mail y lo leemos desde el móvil, es más probable que terminemos haciendo clic en un enlace fraudulento que si lo abrimos desde el ordenador, donde somos más cuidadosos y también podemos identificar un fraude mejor. Por ello los piratas informáticos tienen aquí una buena oportunidad y es un método que, junto al SMS, está muy presente. En el mensaje del correo electrónico pueden utilizar cualquier estrategia. Por ejemplo, indicarnos que hay algún problema con una red social, como puede ser Facebook o Twitter, y tenemos que acceder con nuestros datos. También algún fallo con el propio correo o cualquier otro servicio online.
Muchas de las personas que utilizan iPhone, se valen del cliente de correo electrónico por defecto para gestionar sus mensajes diariamente. Una de las características de Mail de iOS es que la interfaz es muy limpia, y casi no tiene información en letra pequeña. Observemos más abajo una captura de pantalla de referencia de parte del sitio oficial de Apple:
Hacia arriba, podemos leer quién es el remitente. En el caso del ejemplo, es Susan Shaw. Puede ser un nombre de alguien que conocemos o bien, el nombre de una persona que envía algún tipo de newsletter en nombre de determinada organización. Lo peligroso de esto es que no podemos ver el detalle de la dirección de correo electrónico de la persona a primera vista. Debemos tener presente que un cibercriminal puede hacerse pasar hasta por el mismísimo Presidente, con tal de llamar nuestra atención y seguir lo que indica el contenido de un correo electrónico malicioso.
Más de una persona diría que la solución es algo obvia: debemos hacer clic en el nombre de la persona para que nos despliegue el detalle del correo electrónico. Otros podrían decir que al hacer clic en «Responder», cuando vas a escribir un mensaje de respuesta, allí te aparece el correo electrónico. Sin embargo, no todos piensan de la misma manera y realizan algunas actividades sin pensarlo mucho. Más que nada, porque estamos acostumbrados a hacerlo todo muy rápidamente, sin pararnos en el hecho de que podrías perder o vulnerar tus datos en cuestión de segundos, aunque eso es lo mínimo que podría acontecer.
Aunque se pueda pensar lo contrario, los usuarios Apple no se salvan del Phishing. Es importante tomar las medidas esenciales para prevenirlo, con el objetivo de tener una experiencia más segura con el correo electrónico. Así también, los usuarios Android y de dispositivos con otros sistemas operativos también deben tener bien afianzada la conciencia de seguridad, ya que los riesgos de ataques aumentan cada día.
¿Es posible recibir un e-mail malicioso de parte de un remitente legítimo?
Sí, lo es. Este es uno de los grandes aliados del Phishing, tan sólo es necesario que un usuario pueda recibir un mensaje de parte de un remitente sospechoso, y que el mensaje contenga un programa malicioso. Este programa infecta al usuario y se apropia de su cuenta de correo electrónico. A partir de allí y mediante instrucciones, el usuario infectado puede enviar mensajes maliciosos a otros usuarios con contenido especialmente creado para despistar incluso a los más atentos. Es como una botnet que se crea gracias a la difusión de software malicioso por correo electrónico.
Sin embargo, existe otro método que se denomina Forged «From» Address. En otras palabras, se trata de un «remitente alterado». Es posible que recibas un email de una dirección de correo electrónico en particular, sin embargo, no precisamente el remitente indicado es el original. Originalmente, los protocolos de comunicación que dan vida a los correos electrónicos no realizan una comprobación respecto a si efectivamente quien envía un mensaje, lo hace desde cierta dirección.
¿Cómo saber si han alterado el remitente y evitar el Phishing?
Vamos a demostrar un ejemplo mediante Gmail. Así como cualquier otro cliente de correo electrónico, los mensajes de correo no deseado (Spam) se almacenan en una carpeta diferenciada, de manera que puedas identificarlos mejor y borrarlos cuanto antes. Ten presente que este ejemplo sirve a cualquier caso, independiente del hecho que tengas un iPhone o no.
- Ingresamos a nuestra bandeja de Gmail.
- Seleccionamos la carpeta de Spam.
- Hacemos clic en Mostrar original.
Una vez que hayas hecho clic en «Mostrar original«, se abrirá una nueva pestaña en donde obtendrás toda la información respecto al mensaje de correo electrónico recibido. No sólo podrás visualizar el mensaje, sino que también será posible tener rastro del trayecto del contenido del mensaje por los distintos servidores, incluyendo los de Google.
Más abajo vas a ver un texto muy extenso. Aunque solamente será necesario hacer énfasis en algunas secciones. Así, podrás comprobar con facilidad si el mensaje que has recibido tiene el remitente alterado o no. Primero, vayamos al final de la página y veamos el «From». Recordemos que este es el remitente del mensaje.
Ahora, fijémonos en los dos Received que están más arriba: «Received: by» y «Received: from». Si el remitente fuese una dirección de correo electrónico «@gmail.com», el mensaje debería ser recibido en último lugar por uno de los servidores de Google y no cualquier otro servidor. Si fuese distinto el caso, estamos ante un potencial correo electrónico malicioso.
Una manera más sencilla de identificar algo irregular o sospechoso en un mensaje son las direcciones de IP. Si los remitentes corresponden a proveedores u organizaciones que son de España, pero la IP apunta a cualquier otro país, como Singapur, esto debería generar sospecha. Claro está que Singapur es un ejemplo al azar.
Spear Phishing y Angler Phishing
Normalmente los ataques Phishing son genéricos. Es decir, recibimos un correo o un SMS sin que estén dirigidos realmente a nosotros. Vamos a recibir algo del tipo “estimado usuario”. Aunque solo con eso ya tienen una probabilidad de éxito importante, es aún mayor cuando envían los ataques más personalizados.
Eso es lo que hace le Spear Phishing. Es básicamente un ataque como los anteriores, pero van dirigidos al nombre de la víctima. Ese SMS o e-mail van a ser más personal, por lo que los atacantes van a tener mayor probabilidad de éxito. A fin de cuentas, una persona va a tener más interés en abrir un enlace si han recibido un mensaje a su nombre.
El Angler Phishing va un poco más allá. No solo van a enviar un ataque Phishing al nombre de la víctima, sino que van a crear un ataque muy bien orquestado. En este caso van a obtener información principalmente a través de redes sociales. Por ejemplo, averiguar dónde trabaja la víctima, dónde estudia, qué intereses tiene… En base a todo eso van a crear un perfil de la víctima y van a saber de qué manera es más probable que caiga en la trampa.
Vishing
Un tipo de Phishing para móviles que ha crecido también mucho en los últimos años es lo que se conoce como Vishing. No se trata en este caso de texto, sino de una llamada telefónica. Por medio de la voz, el atacante va a simular algo que no es con el objetivo de que la víctima ceda sus datos y caiga en la trampa.
Por ejemplo, podría hacerse pasar por un empleado de un banco donde la víctima tiene una cuenta. Le indica que hay un error con su cuenta y que necesitan cierta información. Incluso pueden decirle que ha habido un ataque contra su cuenta bancaria y que necesitan solucionarlo para que no les roben dinero, pero que para poder arreglarlo tienen que entrar con su contraseña.
La víctima, nerviosa por ver cómo su cuenta puede estar en peligro, confía en esa llamada y le indica los datos que solicita el atacante. Esto a veces incluye códigos de autenticación en dos pasos, por lo que el ciberdelincuente va a tener un control total sobre la cuenta.
QRishing
Seguro que en alguna ocasión has ido a un restaurante y has visto el menú a través del móvil con el lector QR. También al visitar un monumento o cualquier lugar con un panel informativo. Su funcionamiento es sencillo: usas la cámara del móvil y una aplicación para leer un código que te deriva a una página web.
Lo que hace el atacante es modificar ese código QR. Va a simular que es legítimo, pero en realidad va a derivar a la víctima a una página falsa, donde va a robar los datos personales y contraseñas. Esos códigos los pueden poner en un restaurante, un monumento o cualquier lugar en donde debía haber otro que sí es legítimo.
Cómo detectarlo
Como hemos mencionado los piratas informáticos utilizan los ataques Phishing para robar contraseñas y credenciales de los usuarios. Es un problema que está muy presente tanto para usuarios particulares como para empresas. Es cierto que las herramientas de seguridad cada vez están más preparadas para evitar este tipo de ataques, pero también los ciberdelincuentes perfeccionan sus técnicas.
Los ataques Phishing pueden llegar por medios muy variados. Tradicionalmente han llegado a través de un correo electrónico. Sin embargo, en los últimos tiempos también han aumentado los ataques de este tipo a través de redes sociales o incluso de aplicaciones de mensajería instantánea como puede ser WhatsApp. Hay que tener en cuenta que este tipo de problemas de seguridad afecta a usuarios de sistemas operativos y plataformas muy variadas. No importa si estamos utilizando Windows, Linux, Android… cualquier dispositivo puede ser atacado por alguno de los medios por los cuales se distribuye el Phishing.
Todo esto hace que sea necesario estar preparado para detectarlo. Hay ciertas pautas que podemos mencionar para que los usuarios sepan si cometen errores o no. Es posible que en algún momento nuestra contraseña esté en peligro por no haber prestado atención.
Es vital saber identificar las señales que pueden indicar que estamos ante un ataque Phishing. Esto lo podemos aplicar a la hora de recibir correos electrónicos, mensajes por redes sociales o incluso por WhatsApp. También a la hora de navegar por páginas web podemos toparnos con enlaces fraudulentos.
Iniciar sesión desde links en correos electrónicos
¿Has iniciado sesión directamente desde links que has recibido por e-mail? Esa es sin duda una de las causas más comunes de ser víctima de este tipo de ataque. Es muy importante evitar iniciar sesión desde enlaces que recibamos por correo electrónico, redes sociales o mensajes. Siempre debemos iniciar sesión directamente desde la página web de ese servicio.
Por tanto, esta es una prueba de que has cometido un error y has podido ser víctima de Phishing, en caso de que hayas iniciado sesión desde enlaces recibidos por e-mail. Es importante saber detectar cuándo puede ser un riesgo iniciar sesión.
Abrir o descargar archivos adjuntos
Otra causa es abrir o descargar archivos adjuntos que recibimos. Esto puede suponer un peligro para la seguridad de nuestros equipos, pero también podrían ocultar un ataque Phishing que tenga como objetivo robar nuestras contraseñas.
Siempre debemos analizar muy bien los posibles archivos que recibamos por correo. Tenemos que saber que la fuente es fiable, así como no presentar ninguna anomalía que nos haga sospechar.
Analizar la gramática y aspecto de un correo
También hay que tener en cuenta si hemos analizado o no la gramática y el aspecto general del correo. A veces podemos recibir un e-mail que simula ser de una organización legítima, pero en realidad no lo es. Podemos detectarlo al observar el cuerpo del mensaje, la forma de escritura, si tiene errores gramaticales, etc.
Lo mismo se podría aplicar si recibimos un mensaje por redes sociales.
Consultar que el dominio corresponde con el que debería
Aunque los ataques Phishing están muy presentes y lo seguirán estando, lo cierto es que los usuarios podemos tener en cuenta ciertas cosas para reconocer si una URL pertenece a un ataque Phishing. De esta forma estaremos alerta y no caeremos en la trampa. Vamos a hablar de algunos de los aspectos que hay que tener en cuenta para saber diferenciarlo.
- Dirección falsa: es sin duda el más evidente. Recibimos un correo de una plataforma bancaria o cualquier cosa y nos indican que tenemos que actualizar nuestros datos o enviar algún tipo de información. Nos muestra una dirección web que simula ser la original. La cuestión es que si analizamos esa URL vemos detalles que no cuadran. Por ejemplo, han agregado guiones o símbolos en algún lugar del dominio. Tal vez incluso han puesto un nombre muy parecido al original para despistar. Siempre que veamos que la URL no es la que debería con total seguridad estamos ante un ataque Phishing.
- Página sin cifrar: también es una buena prueba toparnos con una página que no sea HTTPS. Ya sabemos que si navegamos a través de sitios que no están cifrados nuestros datos no están seguros. Eso significa que al iniciar sesión o enviar cualquier tipo de información podría ser interceptada. Por tanto, una página que no esté cifrada, que no sea HTTPS, podría ser utilizada para llevar a cabo este tipo de ataques.
- Han añadido una palabra o letra antes del dominio: más allá de poner un nombre falso en el dominio y que simula ser la URL original, es posible que nos encontremos con una dirección que ha agregado una letra o palabra antes del dominio. De esta forma buscan despistar y que la víctima piense que se trata de una versión web para móvil, por ejemplo.
Enlaces desde sitios de terceros
Por último, queremos hacer mención al error de acceder a enlaces que nos encontramos en sitios de terceros. Por ejemplo, a la hora de actualizar un determinado programa, acceder desde un link que nos encontramos en una página que nada tiene que ver.
En definitiva, estos son algunas cuestiones que nos debemos hacer para saber si hemos cometido errores de cara a prevenir los ataques Phishing.
Alertan de un problema y amenazan con cerrar la cuenta
Siempre que recibamos un correo o mensaje donde nos alertan de un problema y nos amenaza con cerrar una cuenta, lo más normal es que estemos ante un ataque Phishing. No suele fallar. Normalmente los piratas informáticos juegan con el tiempo. Esto significa que buscan que la víctima no tenga tiempo de reacción. Los ciberdelincuentes nos informan de un supuesto problema con nuestra cuenta, que tenemos que actualizar los términos o hacer algo en menos de 24 horas. Si no hacemos lo que nos dicen cancelarán nuestra cuenta. Eso se repite mucho en este tipo de ataques. Es una prueba que no suele fallar para detectar que realmente estamos ante un intento de suplantación de identidad con el objetivo de robar nuestras credenciales.
Enlace oculto
Es algo muy habitual también. Nos envían un enlace que viene comprimido. No sabemos realmente la dirección real. Especialmente esto ocurre en los ataques Phishing a través de SMS. Envían la dirección acortada y solo se despliega una vez el usuario la ha abierto.
De esta forma ya estarán en la web que ha sido modificada de forma maliciosa. Si nos encontramos con un link acortado nunca hay que abrirlo si no sabemos realmente qué hay detrás. Podría ser un ataque Phishing o incluso un link para descargar archivos maliciosos.
Cupones descuento o regalo
Esto está muy presente especialmente en plataformas como WhatsApp o redes sociales. Recibimos una foto o un enlace donde supuestamente nos lleva a un premio, sorteo o regalo que nos van a dar. Al abrir ese enlace nos lleva a una página para introducir nuestros datos.
Estamos ante una prueba más de lo que es un ataque Phishing. Hay que huir de este tipo de cosas.
Cómo evitar estos ataques
Como has podido ver, hay diferentes ataques Phishing que pueden afectar a un móvil. Pueden robar tus contraseñas o datos personales a través de diferentes métodos. Por ello es imprescindible estar protegido y evitar ser víctimas de ese problema. Vamos a dar una serie de consejos esenciales.
Sentido común
Sin duda lo más importante para evitar el Phishing en móviles es el sentido común. Es esencial no cometer errores que puedan afectarnos. Por ejemplo, mirar muy bien dónde hacemos clic, qué SMS o e-mail hemos recibido, dónde abrimos un código QR, etc. Generalmente los piratas informáticos van a necesitar que cometamos algún error y en el caso del Phishing es fundamental.
Por tanto, si evitas errores, si navegas por Internet observando muy bien las URL de las páginas que visitas o enlaces que abres a través de un SMS, evitarás caer en la trampa. Aquí la observación va a ser imprescindible, por lo que debes en todo momento estar alerta y detectar cualquier indicio de que algo raro hay. Y siempre en caso de duda, mejor no abrir un link.
Proteger los móviles
Por supuesto, un consejo también importante es proteger el teléfono móvil correctamente. Esto te ayudará a detectar posibles amenazas que lleguen a través del e-mail, SMS o si por error has caído en la trampa y has bajado algún archivo malicioso que creías que era un documento legítimo.
Un buen antivirus va a ayudarte a estar más protegido siempre. Hay muchas opciones, tanto gratuitas como de pago. No obstante, siempre recomendamos que las bajes de tiendas oficiales, como puede ser Google Play, y mires muy bien comentarios de otros usuarios y no instales una aplicación insegura.
Activar la autenticación en dos pasos
Los ataques Phishing en móviles generalmente tienen como objetivo robar las contraseñas. ¿Cuál es la mejor barrera para evitar problemas incluso si saben cuál es la clave? Sin duda la autenticación en dos pasos. Es una barrera extra de seguridad que va a obligar al atacante a tener que dar un segundo paso para entrar, que suele ser un código que recibimos mediante SMS, correo o aplicación.
Esto va a permitir que protejamos aún más nuestras cuentas. Vamos a estar más preparados para hacer frente a un ataque Phishing y nos daría margen para poder cambiar la contraseña antes de que el atacante pudiera entrar en la cuenta y robar información o actuar en nuestro nombre.
En definitiva, los ataques Phishing en el móvil son un problema importante para el que debemos estar preparados en todo momento. Hemos dado una serie de consejos para prevenir problemas de seguridad de este tipo, así como los diferentes tipos de ataques que pueden afectar a la hora de usar el móvil y que van a comprometer la privacidad y seguridad.
Datos personales en redes sociales o foros
Sin duda los datos personales es la primera información que pueden utilizar los piratas informáticos para llevar a cabo sus ataques. Pueden robar nuestro nombre, dirección de correo electrónico, número de teléfono, datos sobre nuestro trabajo…
Toda esta información la pueden utilizar para llevar a cabo ataques Phishing más personales. De esta forma podrían tener una mayor probabilidad de éxito. Hablamos por ejemplo de recibir un correo malicioso donde nos indican algún problema con nuestra cuenta o servicio y ese e-mail viene dirigido a nuestro nombre. Es más probable que terminemos haciendo clic en posibles enlaces maliciosos si está dirigido a nuestro nombre que si es un correo genérico.
Estos datos los podemos hacer públicos de forma inconsciente simplemente en redes sociales o foros públicos de Internet. Un ejemplo es cuando vamos a poner un comentario en alguna noticia y mostramos nuestra dirección de e-mail y nombre. Pueden ser recopilados por bots y posteriormente usados para llevar a cabo ataques Phishing.
Publicaciones sobre qué usamos
Las publicaciones, ya sea en redes sociales u otras plataformas, pueden ser un problema para nuestra privacidad. Allí podemos mostrar información sobre si utilizamos una determinada aplicación o servicio.
Pongamos por ejemplo que tenemos un problema con nuestro banco y por Twitter les hablamos diciendo que la aplicación del móvil está dando problemas. Los ciberdelincuentes podrían recopilar esa información y usarla en nuestra contra. Podrían saber que tenemos cuenta en un determinado banco y posteriormente enviarnos un correo electrónico que en realidad es un ataque Phishing para robar nuestros datos de ese banco.
Información de acciones futuras
También podemos filtrar datos relacionados con nuestras acciones futuras. Por ejemplo, si hablamos de forma pública que vamos a comprar un determinado producto, que hemos realizado un pedido y lo estamos esperando, que vamos a hacer un viaje a un lugar en concreto, etc.
En definitiva, estamos dando información sobre algo futuro que podría ser utilizado por los piratas informáticos para desplegar sus ataques. Pueden enviarnos un e-mail para robar información relacionada con esos datos que hemos filtrado.
Cambio de operadora
En muchas ocasiones los usuarios hacen público el cambio de operadora de Internet o móvil, así como cualquier otra empresa que nos suministre algún tipo de servicio. Una manera también de pedir información, consejos o simplemente que nos digan qué tal les ha ido a otros usuarios con esa compañía.
Sin embargo, eso también podría ser utilizado por los ciberdelincuentes para enviar ataques Phishing orientados.
¿En qué me pueden afectar estos ataques?
Si somos víctimas de una estafa o fraude por Internet y que afecta directamente a nuestros smartphones, podría darse el caso de que se convierta en un problema de seguridad muy importante. Existen una gran cantidad de fraudes que afectan a usuarios de Android, y explicaremos de qué manera podemos caer en la trampa.
Actualmente existen muchas estafas que consisten en suscribir a los usuarios de Android a diferentes servicios de pago, de hecho, hay campañas de phishing que tienen como objetivo infectar una gran cantidad de móviles a través de las aplicaciones de Google Play. En el pasado, había una campaña denominada Dark Herring que consistió en la infección de móviles Android al instalar una de las 470 aplicaciones que tenían el malware en su interior. En total, más de 100 millones de usuarios se vieron afectados por este gran problema, y se ha cobrado víctimas en más de 70 países. Este tipo de ataques consisten en realizar suscripciones para pagar una cuota de unos 15 euros mensuales, como si instalásemos una app Premium o un servicio adicional de una app que utilizamos habitualmente.
El problema es que los usuarios se daban cuenta de la estafa meses después, cuando ya habían pagado varias veces la «suscripción». Este tipo de ataques son bastante complicados de detectar, incluso los antivirus no son capaces de detectar todos ellos porque hacen uso de código malicioso muy nuevo, usan proxies para cifrar el tráfico y que el antivirus no se «entere» de nada. Después de instalar la aplicación, iniciará una serie de procesos para determinar el idioma y país de la víctima, con el objetivo de suscribirle a diferentes servicios.
El grave error que ha cometido la víctima, es que ha instalado una aplicación y ha proporcionado datos personales sin pensarlo dos veces. Aunque en principio, instalar apps de Google Play es algo «seguro», nunca está demás revisar bien todos los permisos de las aplicaciones porque siempre se pueden colar aplicaciones maliciosas como es el caso. De hecho, con este ataque se ha comprobado que se subieron hasta 470 aplicaciones diferentes con el mismo objetivo. Por supuesto, si una app nos pide nuestro número de teléfono, deberíamos investigar bien por qué nos lo pide, con el objetivo de evitar este tipo de aplicaciones maliciosas.